Anzeige:
Ergebnis 1 bis 13 von 13

Thema: Was ist ein Root-Kit?

  1. #1
    Salsero Avatar von Elegua
    Registriert seit
    Aug 2002
    Ort
    Hannover
    Beiträge
    495

    Question Was ist ein Root-Kit?

    Hi!
    Also, nur kurz vorweg: Ich suche KEINE HACK-Anleitung!

    Mir ist letztes Wochenende mein Server gehackt worden.
    Ein Beguter des Schadens sagte zu mir, das dies wahrscheinlich durch eine alte Apacheversion zurückzuführen sei.

    Jetzt frage ich mich bloß,
    wie es Leute schaffen sich als ROOT auf meinem System einzuloggen?
    Der Apache lief nicht als ROOT! (Gott bewahre).

    2tens haben wir die Vermutung das der Angriff evtl. über MySQL kam.
    Aber auch der lief nicht als ROOT.

    Jetzt frage ich mich natürlich wie kann sich jemand von einem normalen Benutzer aufeinmal als ROOT autorisieren?

    Ich möchte bitte keine Hackanleitungen bekommen.
    Aber vielleicht hat ja jemand eine Generelle Idee.

    Ich habe nämlich auf zukünftige Angriffe auf meinen Server keine Lust.


    Vielen Dank.
    PC: Debian squeeze/sid | Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz | 2GB Ram | Geforce 210
    http://tux.hm Linux- und BSD-UserGroup im Weserbergland

  2. #2
    RHCE Avatar von Bauchi
    Registriert seit
    Apr 2001
    Ort
    München
    Beiträge
    799
    Also .. Apache wird von root gestartet ... sonst könntest du gar nicht den port 80 binden ...
    die apache childs laufen als der jeweilige user, der parent
    Code:
    p15095816:~ # ps -ef | grep httpd
    root     28807     1  0 Aug14 ?        00:00:45 /usr/local/apache/bin/httpd -DSSL
    wwwrun   11614 28807  0 Aug26 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
    wwwrun   11615 28807  0 Aug26 ?        00:00:00 /usr/local/apache/bin/httpd -DSSL
    mysql bindet keinen privilegierten port (3306) und muss daher nicht unter dem user root gestartet werden.
    typischerweise wird jedoch auch mysql von root über einen wrapper gestartet und der eigentliche prozess läuft dann unter dem user von mysql

    ein root kit ist das gleiche was man unter windows als trojaner bezeichnet... ein stück software was einem entfernten/lokalen benutzter administrationsrechte über die maschine/betriebssystem verschaffen kann ohne das der jeweilige benutzer diese rechte eigentlich haben dürfte
    'rm -Rf' read mail ... really fast !

  3. #3
    kleiner bruder von ruth Avatar von HangLoose
    Registriert seit
    Aug 2002
    Ort
    Old Europe
    Beiträge
    3.894
    hi paddyhm

    diese seite dürfte recht interessant für dich sein => http://www.kryptocrew.de/home/

    Gruß HangLoose

  4. #4
    Registrierter Benutzer
    Registriert seit
    Jul 2002
    Ort
    Spackenhausen
    Beiträge
    94
    @bauchi

    das ist aber nur die halbe wahrheit....

    ein rootkit bringt normalerweise auch noch speziell modifizierte standardprogramme wie ps oder netstat mit, die es ermöglichen, das vorhandensein des backdoors zu verschleiern...

    ruft man beispielsweise das modifizierte netstat auf, wird der backdoor der ja im listen-mode arbeitet nicht mit angezeigt...

    ciao

    tommy

  5. #5
    RHCE Avatar von Bauchi
    Registriert seit
    Apr 2001
    Ort
    München
    Beiträge
    799
    b-tommy....
    jo .. hab ich was anderes erzählt :-)

    unter windows die trojaner sind halt so doof das sie sich nicht verschleiern .. aber auch nur weil windows sowas wie ein ps ned hat....

    die kit's/trojaner für linux sind einfach viel ausgefuchster ... :-)

    in der letzten oder vorletzten linux enterprise oder linux magazin war ein ziemlich langer und interessanter bericht über root kits drin :-)

    n8
    'rm -Rf' read mail ... really fast !

  6. #6
    keiner_1
    Gast
    check mal die Seite http://www.chkrootkit.org/ und lies dir die Links unter "Related Links" durch, falls du gerade kein Magazin zur Hand hast, wo diese ausführlich beschrieben werden.

    Allgemein kann ich nur sagen das diese fast nicht zu entdecken sind ausser du kennst dich sehr gut mit /proc aus - denn diese Daten können nicht manipuliert werden! Im Klartext heisst das ein Netstat mit /proc abgleichen....

    viele Glück bei der Suche

    aha noch ein Tipp: bei einem neuinstallierten System TripWire (gibt auch andere) darüber laufen lassen und die Prüffsummen extern speichern!

    greetz
    adme

  7. #7
    Registrierter Benutzer
    Registriert seit
    Jul 2002
    Ort
    Spackenhausen
    Beiträge
    94
    @bauchi

    jo .. hab ich was anderes erzählt :-)
    jo...haste :-)

    ein root kit ist das gleiche was man unter windows als trojaner bezeichnet... ein stück software was einem entfernten/lokalen benutzter administrationsrechte über die maschine/betriebssystem verschaffen kann ohne das der jeweilige benutzer diese rechte eigentlich haben dürfte
    was man unter win trojaner bezeichnet, bezeichnet man unter linux halt backdoors..nen rootkit ist in dem sinne ja kein stück software sondern einige stücke software...wovon nur ein teil der software die wirkliche aufgabe hat, das system zu korrumpieren und die andern, diesen teil zu verschleiern...

    übrigens...ps gibbet unter win wohl net, aber netstat gibts wohl...

    ciao


    tommy

  8. #8
    keiner_1
    Gast
    übrigens...ps gibbet unter win wohl net, aber netstat gibts wohl...
    eigentlich gibt ps auch inform eines Taskmanagers... nur ist das Ding *******e! netstat kann ich das Teil unter Win wirklich nicht nennen, dessen Funktionsumfang gleich null ist

    greetz
    adme

  9. #9
    Registrierter Benutzer
    Registriert seit
    Dec 2001
    Ort
    Berlin
    Beiträge
    1.187

    Wie kann man root werden -->

    Es geht dabei nicht unbedingt darum ueber welches *prog* der Zugang zum System erfolgt. Wenn du mal ps- aux machst, siehst du viele Programme die unter ROOT laufen, laufen muessen und als User genutzt werden koennen.
    z.B. durch ein "einfachen" Buffer Overflow kann man dann auch als normaler User ueber dieses *prog* root- Rechte erlangen.

    Zwecks deinem root-kid, hier gib es ein Tool mit dem kannst du pruefen ob deine Kisten davon "befallen" sind, oder von anderen *Pferden":
    http://www.chkrootkit.org/

    Trojaner lassen sich auch unter Windows sehr, sehr gut verschleiern ;-)
    Ich habe schon einige "Shareware" gesehen, die komische Mails verschickt.
    Einige Leute sagen ja auch, das Windows allgemein ein sehr guter Trojaner ist.

    T;o)Mes
    Geändert von tomes (28.08.02 um 10:54 Uhr)
    You are registered as user #279055 with the Linux Counter
    ************************************************
    Man(n oder Frau) muss nicht alles wissen,
    Man(n oder Frau) muss nur wissen wo es steht !
    ************************************************
    www.sandtom.net

  10. #10
    Salsero Avatar von Elegua
    Registriert seit
    Aug 2002
    Ort
    Hannover
    Beiträge
    495
    Hi!
    @all:

    Erstmal vielen Dank, für Eure Hinweise.
    Ich werde mir einmal die Links durchlesen.

    Dennoch:
    - Ich brauche nur ein Programm zum Abstürzen zubringen und ich habe dann ROOT-Rechte auf meiner Kiste?

    Ist das so richtig?

    Das darf doch nicht sein!?

    Wie kann ich mich denn ambesten in Zukunft vorsoetwas schützen?
    Hat jemand einen Rat für mich?
    PC: Debian squeeze/sid | Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz | 2GB Ram | Geforce 210
    http://tux.hm Linux- und BSD-UserGroup im Weserbergland

  11. #11
    Registrierter Benutzer
    Registriert seit
    Jul 2002
    Ort
    Spackenhausen
    Beiträge
    94
    moin paddy;

    was du meinst, hat aba mit root-kits nix zu tun sondern sind buffer-overflows...

    dabei werden speicherbereiche durch modifizierte überschrieben und das prog veranlasst, sachen zu machen, die es normalerweise gar nicht machen soll...

    nen root-kit wird von einem potentiellen angreifer im anschluss installiert um sich den weg ins system weiterhin offen zu halten...

    schützen kannst du dich am effektifsten dagegen, indem du den stecker ziehst

    im ernst...das beste ist erst mal, so wenig dienste als möglich laufen zu haben...und sich weiterhin regelmässig bei den einschlägigen seiten wie securtiyfocus etc. über exploits zu informieren, die dein system betreffen...

    wirklich sicher machen kannst du die dienste nicht...es sei denn du schreibst sie selbst und bist ein sauguter programmierer...

    bestes beispiel apache...., der wurde ziemlich lange für relativ sicher gehalten bisses vor knapp 2 monaten geknallt hat...

    ciao

    tommy

  12. #12
    Registrierter Benutzer
    Registriert seit
    Dec 2001
    Ort
    Berlin
    Beiträge
    1.187

    Nicht nur Dienste

    so wenig dienste als möglich laufen zu haben.
    sind gefaehrlich.
    Im grunde genommen jedes *prog* das auf deinem Rechner/Server laeuft.

    Deshalb --> bei SecurityServern sollten nur Programme drauf sein die muessen.
    Schau dir mal das erzeichnis /bin und /sbin an. Ganz zu schweigen von /usr/bin, /usr/sbin /usr/X11R6/bin /usr/X11R6/sbin usw.
    Beispiel : man war mal *buggy*, so das man OOT-Rechte erlangen konnte. ;-)
    Also Augen auf. Log-Files auf einen anderen Server und wie schon adme schrieb --> TripWire rauf.

    T;o)Mes
    You are registered as user #279055 with the Linux Counter
    ************************************************
    Man(n oder Frau) muss nicht alles wissen,
    Man(n oder Frau) muss nur wissen wo es steht !
    ************************************************
    www.sandtom.net

  13. #13
    Registrierter Benutzer
    Registriert seit
    Dec 2001
    Ort
    Berlin
    Beiträge
    1.187

    Nicht nur Dienste

    so wenig dienste als möglich laufen zu haben.
    sind gefaehrlich.
    Im grunde genommen jedes *prog* das auf deinem Rechner/Server laeuft.

    Deshalb --> bei SecurityServern sollten nur Programme drauf sein die muessen.
    Schau dir mal das erzeichnis /bin und /sbin an. Ganz zu schweigen von /usr/bin, /usr/sbin /usr/X11R6/bin /usr/X11R6/sbin usw.
    Beispiel : man war mal *buggy*, so das man OOT-Rechte erlangen konnte. ;-)
    Also Augen auf. Log-Files auf einen anderen Server und wie schon adme schrieb --> TripWire rauf.
    Ausserdem jeden Patch der einen angeht sofort einspielen.

    T;o)Mes
    You are registered as user #279055 with the Linux Counter
    ************************************************
    Man(n oder Frau) muss nicht alles wissen,
    Man(n oder Frau) muss nur wissen wo es steht !
    ************************************************
    www.sandtom.net

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •